Zeppelin fidye yazılımı, birçok ücretsiz kurbana şifrelenmiş veriler bıraktı. Artık bir umut var çünkü Birim 221B, anahtarı kırmak için bir yöntem keşfetti. Hepsi biraz sıkıcı ama buna değer.
Bu yılın Ağustos ayına kadar Amerikan CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), Zeppelin fidye yazılımı hakkında bir uyarı yayınladı. Açıklandı ki, Zeppelin fidye yazılımı, Delphi tabanlı Vega kötü amaçlı yazılım ailesinin bir türevidir ve hizmet olarak fidye yazılımı (RaaS) olarak çalışır.
Zeppelin Hizmet Olarak Fidye Yazılımı (RaaS)
2019'dan en az Haziran 2022'ye kadar, aktörler bu kötü amaçlı yazılımı, savunma yüklenicileri, eğitim kurumları, üreticiler, teknoloji şirketleri ve özellikle sağlık ve tıp sektörlerindeki kuruluşlar dahil olmak üzere kritik altyapıya sahip çok çeşitli işletmeleri ve kuruluşları hedeflemek için kullandı. Zeppelin aktörlerinin, başlangıç miktarları birkaç bin dolardan bir milyon dolara kadar değişen Bitcoin cinsinden fidye ödemeleri talep ettikleri biliniyor.
FBI mağdurlara ödeme yapmamalarını söyledi
tarafından hazırlanan bir rapora göre Brian Krebs Bir kurban, FBI'dan bir şirketin verilerin şifresini çözmenin bir yolunu bulduğuna dair bir ipucu aldığında ödeme yapmak üzereydi. Unit 221B araştırmacıları, Zeppelin fidye yazılımında bir güvenlik açığı buldu ve kullandı. Zeppelin dosyaları şifrelemek için üç farklı yol kullansa da, saldırı her zaman her şeyi başlatan kısa ömürlü bir genel RSA-512 anahtarıyla başlar.
Araştırmacıların hilesi, RSA-512 anahtarını kayıt defterinden kurtarmak, kırmak ve sonunda dosyaları şifreleyen 256 bit AES anahtarını elde etmek için kullanmaktır. Birim 221B sonunda, kurbanların virüslü sistemlerde RSA-512 anahtarını çıkarmak için çalıştırabilecekleri bir Linux canlı CD'si oluşturdu.
800 CPU, RSA anahtarını kırar
Daha sonra anahtar, ev sahipliği yapan dev Digital Ocean tarafından bağışlanan 800 CPU'luk bir kümeye yüklendi. Küme daha sonra RSA anahtarını kırdı. Şirket, kurbanların kurtarılan anahtarlarla verilerinin şifresini çözmelerine yardımcı olmak için bağışlanan aynı altyapıyı da kullandı.
Unit 211B'nin anahtarı nasıl kırdığına dair teknik bir açıklama bloglarında bulunabilir.
Blog.Unit221B.com'da daha fazlası